Saisie d’un renvoi préjudiciel par la Kúria (Hongrie), la Cour de justice de l’Union européenne a interprété les articles 4 et 28 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lesquels sont relatifs, respectivement, au droit national applicable et aux autorités de contrôle (Weltimmo, aff. C-230/14). Dans l’affaire au principal, une société enregistrée en Slovaquie, exploitant un site Internet d’annonces concernant des biens situés en Hongrie, a été sanctionnée par l’autorité hongroise de protection des données pour non-respect de la loi hongroise sur la protection des données. Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour sur le point de savoir, d’une part, si la directive permet à une autorité de contrôle d’un Etat membre d’appliquer sa législation nationale sur la protection des données à l’égard d’une société responsable de traitement, immatriculée dans un autre Etat membre, exploitant un site Internet fournissant des services sur le territoire du premier Etat et, d’autre part, si, dans le cas où l’autorité de contrôle estime que le droit d’un autre Etat est applicable, la directive doit être interprétée en ce sens que l’autorité ne pourrait exercer ses pouvoirs que conformément au droit de cet autre Etat, sans pouvoir infliger de sanction. S’agissant de la première question, la Cour rappelle que chaque Etat membre doit appliquer les dispositions nationales qu’il a adoptées en vertu de la directive, dès lors que le traitement de données est effectué dans le cadre d’activités menées sur son territoire par un établissement du responsable de traitement. A ce titre, elle considère que la présence d’un seul représentant peut, dans certaines circonstances, constituer un établissement si ce représentant agit avec un degré de stabilité suffisant à la fourniture des services concernés dans cet Etat membre. En outre, la Cour précise que la notion d’« établissement » s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable. S’agissant de la deuxième question, la Cour considère que chaque autorité de contrôle veille au respect, sur le territoire de l’Etat l’ayant mise en place, des dispositions adoptées par tous les Etats membres en application de la directive. A cette fin, chaque autorité exerce son contrôle conformément au droit de l’Etat dont elle relève. La Cour précise qu’une autorité peut être saisie d’une réclamation relative au traitement de données à caractère personnel alors même que le droit applicable au traitement de ces données est celui d’un autre Etat membre. Le cas échéant, les pouvoirs de cette autorité doivent s’exercer dans le respect de la souveraineté nationale de cet autre Etat. Dès lors, la Cour estime que le pouvoir de répression de l’autorité ne peut s’exercer en dehors de l’Etat membre dont elle relève. Toutefois, en vertu de l’obligation de coopération prévue par la directive, l’autorité saisie peut demander à l’autorité de contrôle de l’Etat membre dont le droit est applicable de constater une éventuelle infraction à ce dernier et d’imposer, éventuellement, les sanctions prévues par ce droit. (MS)